以下意見作者為沈巋
2024年7月26日,公安部、國家網際網路信息辦公室聯合發布了《關於〈國家網絡身份認證公共服務管理辦法(徵求意見稿)公開徵求意見的公告》,並附上了《國家網絡身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱「《辦法》」)全文以及《關於起草〈國家網絡身份認證公共服務管理辦法(徵求意見稿)〉的說明》(以下簡稱《說明》)。這一全文僅有十六個條款的《辦法》看上去並不起眼,但確實關係到網絡社會的活力源泉,公安部、網信辦踐行立法民主原則,按照《立法法》《規章制定程序條例》的規定公開向社會徵求意見,是應當予以肯定的。我並非網絡技術專家,也非網絡法專家,但**是出於對我們生活其中的網絡世界的理解和認知,從憲法和行政法角度,提出對《辦法》所希望建立的制度的關切和擔憂**。
《辦法》的目的在《說明》之中已經非常明確地提出來了,主要是為了「建成國家網絡身份認證公共服務平臺,形成國家網絡身份認證公共服務能力,為社會公眾統一籤發『網號』『網證』,提供以法定身份證件信息為基礎的真實身份登記、核驗服務,達到方便人民群眾使用、保護個人信息安全、推進網絡可信身份戰略的目標。基於國家網絡身份認證公共服務(以下簡稱公共服務),自然人在網際網路服務中依法需要登記、核驗真實身份信息時,可通過國家網絡身份認證APP自願申領並使用『網號』『網證』進行非明文登記、核驗,無需向網際網路平臺等提供明文個人身份信息。由此,可以最大限度減少網際網路平臺以落實『實名制』為由超範圍採集、留存公民個人信息。」
北京大學法學院教授沈巋
根據這段文字,我對實際操作層面的簡單理解是:自然人在網際網路平臺接受服務、從事相關活動,若依法需要登記、核驗真實身份信息,可以考慮不再向平臺提供詳細的個人身份信息,而是可以向平臺提供其向國家網絡身份認證平臺申請獲得的「網號」「網證」。直覺上,這樣的一個「取而代之」,或許可以收穫三個好處:
第一,有利於網絡用戶在依法需要實名認證的場合進行快捷方便的操作。因為,《辦法》第5條規定:「根據法律、行政法規規定,在網際網路服務中需要登記、核驗用戶真實身份信息的,可以使用網號、網證依法進行登記、核驗。」當然,這個便捷並非十分顯著,輸入個人身份信息比輸入「網號」「網證」並沒有特別明顯的麻煩。
第二,有利於個人身份信息儘可能少地被國家網絡身份認證平臺(即《辦法》中簡稱的「公共服務平臺」)以外的其他網絡平臺收集。因為,《辦法》第8條規定:「網際網路平臺需要依法核驗用戶真實身份信息但無需留存用戶法定身份證件信息的,公共服務平臺應當僅提供用戶身份核驗結果。根據法律、行政法規規定,網際網路平臺確需獲取、留存用戶法定身份證件信息的,經用戶授權或者單獨同意,公共服務平臺應當按照最小化原則提供。」
第三,有利於個人信息安全的最大化。這是從以上兩點可以合乎情理地推出的,因為,實際個人身份信息收集的主體越少,被要求超範圍提供個人信息的可能性就會越小,收集、保存用戶信息的主體洩露、非法使用信息的可能性也就會越小。
由這三個好處,我們似乎可以簡單地得出一個結論:這個基於個人自願申請的「網號」「網證」制度——《辦法》第4條第1款規定:持有有效法定身份證件的自然人,可自願向公共服務平臺申領網號、網證——是有益的、是可行的。然而,世上很少見「有百利而無一害」的制度,許多制度往往是利弊並存的,當我們進行制度選擇的時候,經常要做的棘手工作是如何權衡利弊,以找到好處明顯大過壞處、且可以儘量遏制壞處的制度方案。這樣的權衡在憲法、行政法上的典型體現是被稱為公法「帝王原則」的比例原則。
完整的比例原則有四點要求:其一,公權力機關採取的措施和手段所欲實現的目標是合法的、正當的;其二,公權力機關採取的措施和手段確實可以實現其宣稱的目標;其三,公權力機關採取的措施和手段對當事人權益的損害是最小的;其四,公權力機關採取的措施和手段所獲得的收益與其所付出的成本是適度的,切忌「用大炮打蚊子」,即便把蚊子打下來了,也是損耗極大。其中,任何一項要求不能得到滿足,公權力機關採取的措施和手段就不符合比例原則,就無法通過合憲性/合法性審查。那麼,統一「網號」「網證」制度是否可以經得起檢驗呢?
從前文所提統一「網號」「網證」的可能益處看,該制度是符合比例原則第一、第二項要求的,關鍵在於第三項要求,即該制度會給個人帶來什麼損害,這個損害是否大過可能的益處,以及是否有別的制度,可以實現同樣的益處而又沒有更大損害。
根據《辦法》目前的規定,個人擁有統一的「網號」「網證」,以及網絡平臺接入網絡身份認證服務,是根據自願而非強制,由此,即便統一「網號」「網證」可能帶來什麼危害,似乎也是個人或網絡平臺自願接受的。然而,《辦法》第6條「鼓勵有關主管部門、重點行業按照自願原則推廣應用網號、網證」,第7條「鼓勵網際網路平臺按照自願原則接入公共服務,用以支持用戶使用網號、網證登記、核驗用戶真實身份信息」。通常,在這種鼓勵推廣之下,統一「網號」「網證」的使用會越來越普遍、越來越廣泛。甚至,不排除實行實名制的網絡平臺將來直接要求用戶使用「網號」、「網證」登記,而不給用戶選擇的機會。
統一「網號」「網證」的普遍使用,最令人擔心的損害是可能給個人隱私權和個人自主權帶來極大的風險。
在網絡時代,個人隱私、個人自主已經很難像在前網絡時代那樣得到保護。在過去,我可以到實體書店駐足瀏覽,併購買自己喜歡的書籍帶回家閱讀;我可以在大街小巷的報刊亭,把自己中意的報紙、刊物買下來翻閱,把自己喜歡的明星畫像剪下來貼在自家牆上;我可以逛街、逛商店,到自己突然動心的店鋪裡買下可愛的商品;我可以獨自去公園、去高山、去河流湖泊徒步、郊遊,欣賞美景。所有這些,我都可以自己做主完成。而且,我看過什麼書、瀏覽過什麼新聞、喜歡過什麼明星、購買過什麼商品、到過什麼地方,除非我告訴別人,我都是可以保留在自己隱私的範圍內。
在網絡時代,一切都不同了。我去實體書店的次數明顯減少了,即便去了,看中什麼書,我也會通過網絡購買;我基本已經不再訂閱或購買紙質報紙、期刊,因為各種新聞,包括娛樂新聞,都可以在網上瀏覽,喜歡的明星畫像也可以下載放在自己的電腦裡;實體商店的閒逛仍然是有的,但更多還是在網絡上購物;想去風景名勝,則會在網上購買門票、購買高鐵票或飛機票,自駕遊還會用導航。由此,我仍然可以基本上做主完成這些事情,而網絡帶來的視野開闊、活動便利等是以前所未達到的,但是,隱而不顯的風險和危害是,網絡上「走過」的痕跡通常以某種形式的數據保留在提供服務的網絡平臺那裡。進而,網絡平臺會根據其算法,對收集起來的數據進行分析,對我進行「畫像」:喜歡什麼書、喜歡什麼新聞、喜歡什麼明星、喜歡什麼衣服、喜歡去什麼地方,甚至可以從我閱讀的書、新聞之中判斷我的人生哲學、政治哲學立場。由此,過去可能比較容易守住的隱私空間,已經大大限縮了。而且,一旦想到自己在網絡平臺上的一言一行,都有可能是在「被平臺關注著」,自己做主的空間也就會在謹慎中限縮。
不過,網絡技術的發展似乎是不可逆轉的,在此決定論、宿命論之下,守住隱私、守住自主、守住自我,以及因為這份守住而有的思想、行動以及創新之活躍,在相當程度上得到了網絡社會多中心的保障。我在「微信讀書」中閱讀,我的讀書偏好可能只在這個平臺得到「畫像」,而不會被別的平臺了解,「微信讀書」也不會知道我喜歡什麼衣著、什麼化妝品。我在百度上搜索,可以通過設置,選擇不讓百度跟蹤我的搜索記錄,雖然我會因此失去個性化推薦的好處——優化瀏覽時間,而即便我允許百度跟蹤,得到我諸多數據的也只是百度這個平臺,而不是其他平臺。這樣的假設場景可以繼續列舉下去,但似乎也沒必要,因為我的觀點已經表達了:我在網絡時代已經難免「隱私暴露」,但多中心的、商業化的平臺只能得到「我的部分」,而不能得到「我的全部」,我還不至於完全「裸奔」。更何況,《民法典》《數據安全法》《個人信息保護法》等法律以及人工智慧倫理規範,對商業平臺保護個人隱私、個人信息、數據安全等有明確的合規要求。
然而,當統一的「網號」「網證」普遍廣泛使用時,可以想像的是,我用「網號」「網證」在各個平臺上登記,我在各個平臺上做過的事情,都是可以——不一定是必然——由將「網號」「網證」與個人真實身份信息鎖定的集中統一平臺收集到相關數據,並進行數據分析。原來我還是「零碎暴露」的網絡存在,有可能非常容易地在一個集中統一平臺成為「完整裸露」的網絡存在。這種「完整裸露」不一定會被我及時發現,也不一定會給我帶來即時損害,但毫無疑問的是,我會因為這樣的裸露風險而變得更加的謹小慎微,變得不敢贊同或反對一些主張,變得不敢進行充分的交流,變得不敢廣泛的閱讀瀏覽,變得不敢……這種自我拘謹、自我束縛如果普遍存在,數字經濟活力如何激發,數字社會環境如何優化,數字合作格局又如何構建?
簡言之,數字經濟、網絡社會的活力源泉,在於多中心而不是集中壟斷。統一「網號」「網證」的潛在風險、危害是巨大的,其收穫的可能好處——防止平臺超範圍收集個人信息、防止平臺洩露個人信息和數據等——其實又是完全可以通過既有的其他制度實現的。鑑於此,統一「網號」「網證」制度是否可以通過比例原則的檢驗,是否可以通過數字經濟發展的檢驗,應當畫上大大的問號,並加以認真的對待和省視。
以下意見作者為勞東燕
勞東燕,清華大學法學院教授
由公安部與網信辦聯合起草的《國家網絡身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱《辦法》於7月26日正式公布,目前正處於公開徵求意見階段。既然是公開徵求意見,我也想公開表達一下我的意見。
《辦法》擬推行統一的網號與網證制度,在我看來,這樣的舉措將帶來極大的社會風險,並且作為部門規章,明顯缺乏上位法依據。與2023年9月出臺的《治安管理處罰法(修訂草案》相比,帶來的社會風險有過之而無不及。
首先,《辦法》的真實用意,是如起草者所言是基於保護個人信息的目的,還是加強對個人在網絡上的言行的管控?
在網絡實名制推行12年之後,超過十億的網民都已經在各個網絡信息服務提供者處留下認證所需的個人信息,在這種情況下推行網號與網證制度還有多少現實的意義?當初推行網絡實名制,就是以保護普通公眾的名義推出,保護的效果如何,大家有目共睹。這意味著,《辦法》的推行與網絡實名制一樣,真正的目的是管控人們在網絡上的行為,所謂保護個人信息云云不過是虛晃一槍,至少不是主要的目的所在。
其次,網號與網證制度的實質是什麼?
形象地說,網號與網證制度就類似於疫情期間的健康寶,治理思路上如出一轍,只不過是將通過健康寶的社會管控日常化與常態化了。網號制度就相當於給每個人的上網行為安裝一個監視器,所有網上的痕跡(包括瀏覽痕跡)都可一網打盡打盡地輕易加以收集。網證制度則意味著,上網或使用網絡服務提供者提供的服務,將在實質上成為一種需要經過許可才能享有的特權,如果相關部門不提供認證服務,個人就難以享有相應的網際網路服務,包括但不限於發言、評論與其他服務。
附:公安部 國家網際網路信息辦公室關於《國家網絡身份認證公共服務管理辦法(徵求意見稿)》公開徵求意見的公告
2024年07月26日 17:00來源:中國網信網
為強化公民個人信息保護,推進並規範國家網絡身份認證公共服務建設應用,加快實施網絡可信身份戰略,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》等法律法規,公安部、國家網際網路信息辦公室等研究起草了《國家網絡身份認證公共服務管理辦法(徵求意見稿)》,現向社會公開徵求意見。公眾可以通過以下途徑和方式提出意見建議:
1.登錄中華人民共和國司法部 中國政府法制信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主菜單的「立法意見徵集」欄目提出意見建議。
2.通過電子郵件將意見建議發送至:[email protected]或[email protected]。
3.通過信函將意見建議寄至:北京市東城區東長安街14號公安部,郵編:100741,或北京市西城區車公莊大街11號國家網際網路信息辦公室,郵編:100044。來信請在信封上註明「國家網絡身份認證公共服務管理辦法徵求意見」。
意見建議反饋截止時間為2024年8月25日。
2024年7月26日
國家網絡身份認證公共服務管理辦法(徵求意見稿)
第一條 為實施網絡可信身份戰略,推進國家網絡身份認證公共服務建設,保護公民身份信息安全,促進數字經濟發展,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》等法律法規,制定本辦法。
第二條 本辦法所稱國家網絡身份認證公共服務(以下稱「公共服務」),是指國家根據法定身份證件信息,依託國家統一建設的網絡身份認證公共服務平臺(以下稱「公共服務平臺」),為自然人提供申領網號、網證以及進行身份核驗等服務。
本辦法所稱網號,是指與自然人身份信息一一對應,由字母和數字組成、不含明文身份信息的網絡身份符號;網證,是指承載網號及自然人非明文身份信息的網絡身份認證憑證。網號、網證可用於在網際網路服務及有關部門、行業管理、服務中非明文登記、核驗自然人真實身份信息。
第三條 國務院公安部門、國家網信部門依照各自法定職責,負責國家網絡身份認證公共服務的監督管理,監督、指導公共服務平臺依法落實數據安全和個人信息保護義務。
國務院民政、文化和旅遊、廣播電視、衛生健康、鐵路、郵政等部門依照本辦法和有關法律、行政法規的規定,在各自職責範圍內負責國家網絡身份認證公共服務的推廣應用和監督管理工作。
第四條 持有有效法定身份證件的自然人,可自願向公共服務平臺申領網號、網證。
不滿十四周歲的自然人需要申領網號、網證的,應當徵得其父母或者其他監護人同意,並由其父母或者其他監護人代為申領。
已滿十四周歲未滿十八周歲的自然人需要申領網號、網證的,應當在其父母或者其他監護人的監護下申領。
第五條 根據法律、行政法規規定,在網際網路服務中需要登記、核驗用戶真實身份信息的,可以使用網號、網證依法進行登記、核驗。
不滿十四周歲的自然人使用網號、網證登記、核驗真實身份信息的,應當徵得其父母或者其他監護人同意。
第六條 鼓勵有關主管部門、重點行業按照自願原則推廣應用網號、網證,為用戶提供安全、便捷的身份登記和核驗服務,通過公共服務培育網絡身份認證應用生態。
第七條 鼓勵網際網路平臺按照自願原則接入公共服務,用以支持用戶使用網號、網證登記、核驗用戶真實身份信息,依法履行個人信息保護和核驗用戶真實身份信息的義務。
網際網路平臺接入公共服務後,用戶選擇使用網號、網證登記、核驗真實身份信息並通過驗證的,網際網路平臺不得要求用戶另行提供明文身份信息,法律、行政法規另有規定或者用戶同意提供的除外。
網際網路平臺應當保障使用網號、網證的用戶與其他用戶享有相同服務。
第八條 網際網路平臺需要依法核驗用戶真實身份信息但無需留存用戶法定身份證件信息的,公共服務平臺應當僅提供用戶身份核驗結果。
根據法律、行政法規規定,網際網路平臺確需獲取、留存用戶法定身份證件信息的,經用戶授權或者單獨同意,公共服務平臺應當按照最小化原則提供。
未經自然人單獨同意,網際網路平臺不得擅自處理或者對外提供相關數據信息,法律、行政法規另有規定的除外。
第九條 公共服務平臺處理個人信息不得超出為自然人提供申領網號、網證以及進行身份核驗等服務所必需的範圍和限度,在向自然人提供公共服務時應當依法履行告知義務並取得其同意。處理敏感個人信息的,應當取得個人的單獨同意,法律、行政法規規定應當取得書面同意的,從其規定。
未經自然人單獨同意,公共服務平臺不得擅自處理或者對外提供相關數據信息,法律、行政法規另有規定的除外。
公共服務平臺應當依照法律、行政法規規定或者用戶要求,及時刪除用戶個人信息。
第十條 公共服務平臺在處理用戶個人信息前,應當通過用戶協議等書面形式,以顯著方式、清晰易懂的語言真實、準確、完整地向用戶告知下列事項:
(一)公共服務平臺的名稱和聯繫方式;
(二)用戶個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)用戶依法行使其個人信息相關權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
處理敏感個人信息的,還應當向個人告知處理的必要性以及對個人權益的影響,法律、行政法規另有規定的除外。
第十一條 公共服務平臺處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,公共服務平臺應當在緊急情況消除後及時告知。
第十二條 公共服務平臺應當加強數據安全和個人信息保護,依法建立並落實安全管理制度與技術防護措施。
第十三條 公共服務平臺的建設和服務涉及密碼的,應當符合國家密碼管理有關要求。
第十四條 違反本辦法第七條第二款、第八條、第九條、第十條、第十二條規定,依照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》應當追究法律責任的,由國務院公安部門、國家網信部門在各自職責範圍內依法予以處罰;構成犯罪的,依法追究刑事責任。
第十五條 本辦法所稱法定身份證件,包括居民身份證、定居國外的中國公民的護照、前往港澳通行證、港澳居民來往內地通行證、臺灣居民來往大陸通行證、港澳居民居住證、臺灣居民居住證、外國人永久居留身份證等身份證件。
第十六條 本辦法自 年 月 日起施行。
關於起草《國家網絡身份認證公共服務管理辦法(徵求意見稿)》的說明
一、起草必要性
為全面貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》中關於國家實施網絡可信身份戰略、推進網絡身份認證公共服務建設等有關規定,國家組織建設網絡身份認證公共服務基礎設施,旨在建成國家網絡身份認證公共服務平臺,形成國家網絡身份認證公共服務能力,為社會公眾統一籤發「網號」「網證」,提供以法定身份證件信息為基礎的真實身份登記、核驗服務,達到方便人民群眾使用、保護個人信息安全、推進網絡可信身份戰略的目標。基於國家網絡身份認證公共服務(以下簡稱公共服務),自然人在網際網路服務中依法需要登記、核驗真實身份信息時,可通過國家網絡身份認證APP自願申領並使用「網號」「網證」進行非明文登記、核驗,無需向網際網路平臺等提供明文個人身份信息。由此,可以最大限度減少網際網路平臺以落實「實名制」為由超範圍採集、留存公民個人信息。為進一步強化個人信息保護、規範公共服務的運行管理,公安部、國家網際網路信息辦公室等有關部門經充分調研論證,起草了《國家網絡身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱《管理辦法》)。
二、主要內容
《管理辦法》共16條,主要包括四個方面的內容:一是明確了公共服務和「網號」「網證」等概念;二是明確了公共服務的使用方式和場景;三是強調了公共服務平臺和網際網路平臺的數據和個人信息保護義務;四是明確了公共服務平臺和網際網路平臺違反數據和個人信息保護義務的法律責任。
三、主要考慮
《管理辦法》根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》的規定,明確了使用「網號」「網證」進行網絡身份認證的方式,並對「網號」「網證」的申領條件、公共服務的使用場景、法定身份證件範圍、數據和個人信息安全保護義務等基礎性事項作出規定。此外,依照《中華人民共和國個人信息保護法》《未成年人網絡保護條例》等對未成年人的特殊保護要求,對未成年人申領、使用公共服務作出了特別規定。
《管理辦法》鼓勵網際網路平臺接入公共服務,支持用戶使用「網號」「網證」登記、核驗真實身份,並作為其履行用戶真實身份核驗和個人信息保護等法定義務的一種方式。對自願選擇使用「網號」「網證」的用戶,除法律法規有特殊規定或者用戶同意外,網際網路平臺不得要求用戶另行提供明文身份信息,最大限度減少網際網路平臺以落實「實名制」為由超範圍採集、留存公民個人信息。
《管理辦法》嚴格依照《中華人民共和國個人信息保護法》等上位法的規定,充分保障了用戶個人信息相關權利。明確了公共服務平臺採集個人信息的「最小化和必要性原則」,即公共服務平臺處理個人信息不得超出為自然人提供「網號」「網證」相關服務所必需的範圍和限度。明確了公共服務平臺處理用戶個人信息時的解釋告知、數據保護等義務,充分保障用戶的知情權、選擇權、刪除權等個人信息相關權利。
《管理辦法》明確了身份核驗結果信息的「最小化提供原則」和依法處理要求。對依法需要核驗用戶真實身份但無需留存用戶法定身份證件信息的,公共服務平臺應當僅向網際網路平臺提供核驗結果;對於依法確需獲取、留存用戶法定身份證件信息的,經用戶單獨同意,公共服務平臺應按照「最小化原則」向網際網路平臺提供必要、相關的明文信息。